GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH



Podobne dokumenty
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

PRZETWARZANIE DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Regulamin udostępniania dokumentów członkom Zgierskiej Spółdzielni Mieszkaniowej

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

Instrukcja ochrony danych osobowych. Rozdział 1 Postanowienia ogólne

ZARZĄDZENIE Nr 51/2015 Burmistrza Bornego Sulinowa z dnia 21 maja 2015 r.

Umowa o powierzanie przetwarzania danych osobowych

POLITYKA PRYWATNOŚCI

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych w oświacie z punktu widzenia samorządu jako organu prowadzącego

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

UMOWA NR w sprawie: przyznania środków Krajowego Funduszu Szkoleniowego (KFS)

ZARZĄDZENIE NR 82/15 WÓJTA GMINY WOLA KRZYSZTOPORSKA. z dnia 21 lipca 2015 r.

INSTRUKCJA postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Miasta Ustroń. I. Postanowienia ogólne

Statut Audytu Wewnętrznego Gminy Stalowa Wola

REGULAMIN PROGRAMU PROMOCJI

Kancelaria Radcy Prawnego

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ.... (nazwa praktyki) wydana w dniu... przez...

OCHRONY DANYCH OSOBOWYCH Ewa Kulesza

REGULAMIN KONTROLI ZARZĄDCZEJ W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W TOLKMICKU. Postanowienia ogólne

RZECZPOSPOLITA POLSKA MINISTER CYFRYZACJI

Spółdzielnia Mieszkaniowa w Tomaszowie Lubelskim

Regulamin usługi udostępniania obrazów faktur VAT i innych dokumentów w formie elektronicznej

Instrukcja zarządzania bezpieczeństwem Zintegrowanego Systemu Zarządzania Oświatą

R O Z P O R ZĄDZENIE M I N I S T R A N A U K I I S Z K O L N I C T WA W YŻSZEGO 1) z dnia r.

I. Postanowienia ogólne

Ogłoszenie o zwołaniu Zwyczajnego Walnego Zgromadzenia IDM Spółka Akcyjna w upadłości układowej z siedzibą w Krakowie na dzień 30 czerwca 2015 roku

POLITYKA PRYWATNOŚCI SKLEPU INTERNETOWEGO

Stowarzyszenie Lokalna Grupa Działania EUROGALICJA Regulamin Rady

o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw 1 )

WYSTĄPIENIE POKONTROLNE

RAPORT NA TEMAT STANU STOSOWANIA PRZEZ SPÓŁKĘ ZALECEŃ I REKOMENDACJI ZAWARTYCH W ZBIORZE DOBRE PRAKTYKI SPÓŁEK NOTOWANYCH NA GPW 2016

Regulamin serwisu internetowego ramowka.fm

Załącznik nr 2 do IPU UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2015 r. w Warszawie zwana dalej Umową, pomiędzy:

9/1/B/2009. POSTANOWIENIE z dnia 25 sierpnia 2008 r. Sygn. akt Tw 24/08. Trybunał Konstytucyjny w składzie: Marek Kotlinowski,

Nadzór nad systemami zarządzania w transporcie kolejowym

Załącznik Nr 1 do zarządzenia Burmistrza Gminy Brwinów nr z dnia 29 marca 2011 roku

stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób (Dz. U. z 2014 r. poz. 24). Na podstawie art. 49 pkt 2 powyższej ustawy

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik nr 7 DO UMOWY NR. O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO UMOWA O WZAJEMNYM POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 11/2012 Wójta Gminy Rychliki. z dnia 30 stycznia 2012 r. w sprawie wdrożenia procedur zarządzania ryzykiem w Urzędzie Gminy Rychliki

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

Zarządzenie Nr 339/2011 Prezydenta Miasta Nowego Sącza z dnia 17 października 2011r.

REGIONALNA IZBA OBRACHUNKOWA

KRYTERIA DOSTĘPU. Działanie 2.1,,E-usługi dla Mazowsza (typ projektu: e-administracja, e-zdrowie)

Ogłoszenie o zwołaniu Zwyczajnego Walnego Zgromadzenia. i3d S.A. z siedzibą w Gliwicach

ZARZĄDZENIE NR 243/2007 PREZYDENTA MIASTA KRAKOWA Z DNIA 7 lutego 2007 roku

Pani Dorota Pielichowska-Borysiewicz Dyrektor Domu Dziecka w Kórniku-Bninie WYSTĄPIENIE POKONTROLNE. NAJWYśSZA IZBA KONTROLI

Wiceprezes NajwyŜszej Izby Kontroli Józef Górny. Pani Prof. dr hab. Barbara Kudrycka Minister Nauki i Szkolnictwa WyŜszego WYSTĄPIENIE POKONTROLNE

Sprawa numer: BAK.WZP Warszawa, dnia 27 lipca 2015 r. ZAPROSZENIE DO SKŁADANIA OFERT

Sprawozdanie z działalności Rady Nadzorczej TESGAS S.A. w 2008 roku.

D E C Y Z J A. (dotyczy przekazania przez Towarzystwo Funduszy Inwestycyjnych danych osobowych Skarżącego Bankowi, w celach marketingowych)

Faktury elektroniczne a e-podpis stan obecny, perspektywy zmian. Cezary Przygodzki, Ernst & Young

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI[1]) z dnia r.

Informacja dla akcjonariuszy precyzyjny opis procedur dotyczących uczestniczenia w Zgromadzeniu i wykonywania prawa głosu:

Przetwarzanie danych osobowych przez przedsiębiorców zagrożenia i wyzwania Monika Krasińska Dyrektor Departamentu Orzecznictwa Legislacji i Skarg

Ogłoszenie Zarządu o zwołaniu Nadzwyczajnego Walnego Zgromadzenia Akcjonariuszy Yellow Hat S.A. z siedzibą w Warszawie

ZARZĄDZENIE NR 21/2015 WÓJTA GMINY IWANOWICE Z DNIA 12 PAŹDZIERNIKA 2015 ROKU w sprawie ustalenia wytycznych kontroli zarządczej.

REGULAMIN PROMOCJI 5 LAT GWARANCJI NA URZADZENIA MARKI WHIRLPOOL. Promocja obowiązuje w terminie : od 1 lipca 2014 roku do 30 września 2014 roku.

współadministrator danych osobowych, pytania i indywidualne konsultacje.

Ogłoszenie o zwołaniu Nadzwyczajnego Walnego Zgromadzenia Akcjonariuszy TELL Spółka Akcyjna z siedzibą w Poznaniu na dzień 11 sierpnia 2014 r.

HAŚKO I SOLIŃSKA SPÓŁKA PARTNERSKA ADWOKATÓW ul. Nowa 2a lok. 15, Wrocław tel. (71) fax (71) kancelaria@mhbs.

SYSTEM ZARZĄDZANIA JAKOŚCIĄ DOKUMENT NADZOROWANY. Realizacja auditu wewnętrznego Systemu Zarządzania Jakością

p o s t a n a w i a m

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. w ę z. X»-l * P -HQ- tom. - p.4... UÄxxi a f. Nr pisma. S f ^. dr Wojciech R.

ZARZĄDZENIE NR 155/2014 BURMISTRZA WYSZKOWA z dnia 8 lipca 2014 r.

Projekt U S T A W A. z dnia

Ministerstwo Pracy i Polityki Społecznej Warszawa, listopad 2011 r.

KRYTERIA WYBORU INSTYTUCJI SZKOLENIOWYCH DO PRZEPROWADZENIA SZKOLEŃ

ZASADY PRZYZNAWANIA ŚRODKÓW Z KRAJOWEGO FUNDUSZU SZKOLENIOWEGO PRZEZ POWIATOWY URZĄD PRACY W ŁASKU

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

Waldemar Szuchta Naczelnik Urzędu Skarbowego Wrocław Fabryczna we Wrocławiu

Postanowienia ogólne. Usługodawcy oraz prawa do Witryn internetowych lub Aplikacji internetowych

Załącznik nr 1 do zarządzenia nr 1/2013 z dnia w sprawie wprowadzenia regulaminu dotyczącego monitoringu w szkole

REGULAMIN SKLEPU INTERNETOWEGO

ROZPORZĄDZENIE MINISTRA ZDROWIA 1)

Regulamin korzystania z Systemu invooclip przez Adresata i Odbiorcę

Regulamin świadczenia usług w Serwisie Internetowym BIG.pl Biura Informacji Gospodarczej InfoMonitor S.A.

W LI RZECZPOSPOLITA POLSKA Warszawa, J 1j listopada 2014 roku Rzecznik Praw Dziecka Marek Michalak

ZARZĄDZENIE Nr 315/PM/2013 PREZYDENTA MIASTA LEGNICY. z dnia 15 marca 2013 r.

5. Źródła i sposoby finansowania

Ogłoszenie o zwołaniu Zwyczajnego Walnego Zgromadzenia Spółki MOJ S.A. z siedzibą w Katowicach na dzień 27 czerwca 2016 r.

MINISTERSTWO INFRASTRUKTURY I ROZWOJU. UMOWA nr zawarta w Warszawie, w dniu

Regulamin Pracy Komisji Rekrutacyjnej w Publicznym Przedszkolu Nr 5 w Kozienicach

DZIENNIK URZĘDOWY WOJEWÓDZTWA ŁÓDZKIEGO

NOWELIZACJA USTAWY PRAWO O STOWARZYSZENIACH

Instrukcja Obsługi STRONA PODMIOTOWA BIP

Umowa w sprawie przesyłania faktur elektronicznych

Zarządzenie Nr 0151/18/2006 Wójta Gminy Kornowac z dnia 12 czerwca 2006r.

NAJWYśSZA IZBA KONTROLI DELEGATURA W GDAŃSKU

Polityka bezpieczeństwa przetwarzania danych osobowych w Ośrodku Pomocy Społecznej w Łazach

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (zwana dalej Umową )

MUZEUM NARODOWYM W POZNANIU,

Prezydent Miasta Gliwice

Tychy, r. ZAPYTANIE OFERTOWE

Grupa robocza Artykułu 29 06/EN

PROCEDURA REKRUTACJI DZIECI DO KLASY PIERWSZEJ DO SZKOŁY PODSTAWOWEJ W OSTASZEWIE NA ROK SZKOLNY 2015/2016

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski Warszawa, dnia 18 czerwca 2014 r. DOLiS-035-1239 /14 Prezes Zarządu Spółdzielnia Mieszkaniowa w związku z uzyskaniem przez Generalnego Inspektora Ochrony Danych Osobowych informacji, z której wynika, iż Spółdzielnia Mieszkaniowa przetwarzając dane osobowe w rozumieniu art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), nie stosuje środków technicznych i organizacyjnych określonych w przepisach tej ustawy, jak również w przepisach wykonawczych wydanych na jej podstawie, w szczególności w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), tym samym umożliwia dostęp do danych osobowych osobom nieupoważnionym, działając na podstawie art. 19a ust. 1 ustawy o ochronie danych osobowych, zgodnie z którym Generalny Inspektor może kierować do osób fizycznych i prawnych wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych, zwracam się o przedsięwzięcie stosownych środków celem wypełnia ciążących na Spółdzielni obowiązków określonych w ww. aktach prawa. Generalny Inspektor Ochrony Danych Osobowych uzyskał informację, iż Spółdzielnia Mieszkaniowa przetwarzając dane osobowe w rozumieniu art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., nr 101, poz. 926 z późn. zm.) zwanej dalej także ustawą, zamieszcza na powszechnie dostępnej stronie internetowej spółdzielni dokumenty zawierające dane osobowe m. in. Sprawozdania Zarządu z działalności, uchwały organów spółdzielni, nie stosując przy tym żadnych środków technicznych i organizacyjnych dotyczących zabezpieczenia tych danych. Każde natomiast przedsięwzięcie związane z przetwarzaniem danych osobowych powinno przebiegać w zgodzie z przepisami obowiązującymi w zakresie przetwarzania danych osobowych. Zasady przetwarzania danych osobowych, określone zostały w przepisach ustawy, jak również w przepisach wykonawczych wydanych na jej podstawie, w szczególności w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 ul. Stawki 2 00 193 Warszawa tel. 0-22 860 70 83 fax 0-22 860 70 86 www.giodo.gov.pl

kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) zwane dalej rozporządzeniem. Stosownie do treści art. 8 1 ustawy z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych (Dz. U. z 2013 r. poz. 1222) członek spółdzielni mieszkaniowej ma prawo otrzymania odpisu statutu i regulaminów oraz kopii uchwał organów spółdzielni i protokołów obrad organów spółdzielni, protokołów lustracji, rocznych sprawozdań finansowych oraz faktur i umów zawieranych przez spółdzielnię z osobami trzecimi. Zgodnie z ust. 3 wskazanego przepisu statut spółdzielni mieszkaniowej, regulaminy, uchwały i protokoły obrad organów spółdzielni, a także protokoły lustracji i roczne sprawozdanie finansowe powinny być udostępnione na stronie internetowej spółdzielni. W opinii Generalnego Inspektora Ochrony Danych Osobowych powyższe nie oznacza, że dokumenty zawierające dane osobowe mogą być bez zastosowania żadnych zabezpieczeń, chroniących przed dostępem do danych osobom nieupoważnionym, zamieszczone na stronie internetowej spółdzielni. Dokumenty (takie jak sprawozdania Zarządu, uchwały organów spółdzielni, itp.) zawierające dane osobowe, przed zamieszczeniem na powszechnie dostępnej stronie internetowej powinny zostać wcześniej zanonimizowane w sposób uniemożliwiający identyfikację osób. Natomiast dokumenty zawierające dane osobowe powinny być dostępne jedynie uprawnionym do tego na mocy stosownych przepisów, osobom. Pomocniczo wskazuję na treść wyroku Trybunału Konstytucyjnego z dnia 15 lipca 2009 roku (sygn. K. 64/2007), w którym Trybunał stwierdził, iż W ocenie Trybunału Konstytucyjnego, art. 8[1] ust. 3 usm powinien być interpretowany systemowo, która to wykładnia warunkuje zgodność tego przepisu z art. 51 ust. 1, 3 i 5 Konstytucji, gwarantującym autonomię informacyjną jednostki. Kwestionowany w niniejszej sprawie przepis znajduje się w rozdziale 1[1] usm zatytułowanym Prawa członków spółdzielni mieszkaniowej. Zatem konstytucyjnie uprawniona interpretacja art. 8[1] ust. 3 usm nakazuje przypisanie przewidzianych w nim uprawnień jedynie członkom spółdzielni mieszkaniowej. Udostępnianie osobom spoza tego kręgu statutu, regulaminów, uchwał i protokołów obrad organów spółdzielni, a także protokołów lustracji i rocznych sprawozdań finansowych nie znajduje konstytucyjnego uzasadnienia. Tym samym powodowałoby nieuprawnione ograniczenie prawa do ochrony danych osobowych przysługującego w tym przypadku członkom spółdzielni mieszkaniowej. Oczywiście powyższe ustalenia determinują przyjęcie określonych rozwiązań technicznych, które zapewniłyby dostęp do dokumentów zawartych na stronie internetowej spółdzielni mieszkaniowej tylko osobom uprawnionym, a więc członkom spółdzielni (np. system logowania się na stronie za pomocą określonego hasła)., LexisNexis nr 2053722 Wskazuję także, że stosownie do art. 36 ust. 1 ustawy o ochronie danych osobowych administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem. Jednym ze środków służących ochronie danych, jest ich szyfrowanie. W szczególności obligatoryjne jest szyfrowanie przesyłanych danych zgodnie z pkt XIII części C załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. zatytułowanej Środki bezpieczeństwa na poziomie wysokim, wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem 2

zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane. O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie. Może to być protokół szyfrowania danych SSL, jak również inne środki ochrony kryptograficznej, np. szyfrowanie przy użyciu poczty elektronicznej i klucza publicznego odbiorcy. Powyżej wskazane rozporządzenie określa: sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych. Ponadto przepisy powyższego rozporządzenia określają jedynie minimalne wymagania dotyczące zabezpieczenia systemu informatycznego. Obowiązek właściwego zabezpieczenia danych osobowych z uwzględnieniem kategorii danych objętych ochroną oraz możliwych zagrożeń jest obowiązkiem dynamicznym, co znaczy, że nie może być spełniony jednorazowo. Administrator danych jest obowiązany monitorować i oceniać zmieniające się zagrożenia w związku z przetwarzaniem danych osobowych i odpowiednio do zachodzących zmian wykorzystywać, uwzględniając osiągnięcia nauki i techniki, środki techniczne i organizacyjne (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2007, Wydawnictwo Prawnicze LexisNexis (wydanie III) s. 504). Prawidłowe zaś zarządzanie zasobami informacyjnymi, zwłaszcza w aspekcie bezpieczeństwa informacji, wymaga właściwej identyfikacji tych zasobów oraz określenia miejsca i sposobu ich przechowywania. Wybór zaś odpowiednich dla poszczególnych zasobów metod zarządzania ich ochroną i dystrybucją zależny jest od zastosowanych nośników informacji, rodzaju zastosowanych urządzeń, sprzętu komputerowego i oprogramowania. Reasumując, administrator danych ma zarówno obowiązek do zorganizowania bezpieczeństwa procesu przetwarzania danych osobowych, w sposób odpowiadający przepisom obowiązującym w zakresie przetwarzania danych osobowych, jak i prawo dokonania tego w taki sposób, który odpowiadał będzie zagrożeniom oraz kategoriom przetwarzanych danych. To administrator decyduje i odpowiada za powyższe i za przetwarzanie danych zgodnie z prawem. Informuję także, że umożliwienie dostępu do danych osobowych osobom nieupoważnionym, jak również zlekceważenie obowiązku zabezpieczenia danych osobowych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem może prowadzić do odpowiedzialności karnej z art. 51 i 52 ustawy o ochronie danych osobowych. Wskazuję, że zgodnie z art. 19a ust. 3 ustawy, podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia na piśmie w terminie 30 dni od daty jego otrzymania. 3

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski Warszawa, dnia 26 sierpnia 2014 r. DOLiS-035-1239/14 Prezes Zarządu Spółdzielnia Mieszkaniowa W związku z Pana pismem z dnia 17 lipca b.r. które do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło w dniu 21 lipca b.r., wyrażam nadzieję, że podjęte przez Spółdzielnię działania, w wyniku których m. in. usunięte zostały z powszechnie dostępnej strony internetowej Spółdzielni dane osobowe zawarte w sprawozdaniach z działalności Zarządu oraz w uchwałach organów spółdzielni przysłużą się ochronie prywatności osób których dane były dostępne, a przeszkolenie osób odpowiedzialnych za publikację treści na stronie internetowej zapobiegnie występowaniu potencjalnych nieprawidłowości w przyszłości. Generalny Inspektor pozytywnie odnosi się także do zapowiedzi opracowania nowej strony www, która ma zapewnić skuteczne filtrowanie dostępu poszczególnych części witryny dla wyznaczonych użytkowników. ul. Stawki 2 00 193 Warszawa tel. 0-22 860 70 83 fax 0-22 860 70 86 www.giodo.gov.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres